无法为Intranet服务器创建证书

2025-07-11 05:30:03 6
  • 收藏
  • 管理

    那里,

    我实际上是在一个不应该从互联网上访问的内部网Dokuwiki上工作。

    它运行在Debian9扩展版上的Apache2上,并使用python-certbot-apache来创建证书。

    通过尝试获取证书,我得到了报告的DNS问题:NXDOMAIN在A中查找wiki.domain.de

    我们有一个公共域domain.de,而wiki.domain.de有一个内部网DNS条目来在我们的网络中解析它。

    我现在已经读到了,仍然可以通过名为http-01 challange的东西为这台服务器获得证书,但我不知道如何启动它。

    如果有人能通过这一点,并能解释或提供给我一个指南的链接,让它运行,我会非常高兴。

    诚挚的问候

    Sven,对http-01挑战的身份验证将来自互联网。

    如果无法从Internet访问您的服务器,则不可能[直接从该系统]使用该方法。

    您可以选择使用可从Internet访问的其他系统来代表Wiki服务器获取证书,或者使用DNS身份验证。

    注意:dns身份验证要求您的Internet dns提供商具有受支持的更新方法[否则,您将不得不手动输入dns条目--不推荐]。

    如果系统不是从您的内部网络外部访问的,为什么它需要在Internet上受信任的证书?您可以更轻松地使用来自任何内部受信任CA的证书[而且它的生命周期可能更长]。

    好吧,那我们就得把现有的通配符放到系统上。

    我们计划在未来切换到让我们加密完成,这个维基应该是第一个测试并开始使用的。

    一个自信的CA并不是我们想象中的那样。

    因此,我们现在将寻求将现有的通配符CA添加到Wiki上,并将其更改为稍后对通配符进行加密。

    谢谢你的解释。,没问题。

    一定要考虑到证书只持续90天这一事实。

    无论证书是否为通配符,您都将面临相同的同步问题。是的,我记住了这一点。我已经私下里用过了。我已经私下里用了。

    如果有人能通过这一点,并能解释或提供给我一个指南的链接,让它运行,我会非常高兴。

    不是指南的链接,但如果您的域名服务器具有API,以便您可以自动添加和删除TXT记录,则您可以为仅限内部的IP地址颁发证书,只要该主机的主机名(即,DNS服务器)可以从万维网访问。Osiris:

    不是指南的链接,但如果您的域名服务器有一个API,这样您就可以自动添加和删除TXT记录,您可以为仅限内部的IP地址颁发证书,只要该主机的主机名(即,DNS服务器)可以从万维网访问。

    你的意思是为了获得一个证书,我让我的DNS创建一个特定时间的A记录,以获得证书并在以后调用这个条目?还是我弄错了?,itzoo:

    你的意思是为了获得一个证书,我让我的DNS创建一个特定时间的A记录,以获得证书并在以后调用这个条目?还是我搞错了?

    TXT唱片,不是A唱片。

    Certbot有几个插件可用于自动进行dns挑战验证,但安装它们是否容易取决于您的系统发行版。

    上一页:无法为ns1allgraes颁发让我们加密SSL TLS证书。对域的授权失败。 下一页:无法与对等设备安全通信:请求的域名与服务器的证书不匹配
    全部评论(0)